正月里來是新年，剛開始上班我們SINE安全團(tuán)隊，首次挖掘發(fā)現(xiàn)了一種新的挖礦木馬，感染性極強(qiáng)，穿透內(nèi)網(wǎng)，自動嘗試攻擊服務(wù)器以及其他網(wǎng)站，通過我們一系列的追蹤，發(fā)現(xiàn)了攻擊者的特征，首先使用thinkphp遠(yuǎn)程代碼執(zhí)行漏洞，以及ecshop getshell漏洞，phpcms緩存寫入漏洞來進(jìn)行攻擊網(wǎng)站，通過網(wǎng)站權(quán)限來提權(quán)拿到服務(wù)器管理員權(quán)限，利用其中一臺服務(wù)器作為中轉(zhuǎn)，來給其他服務(wù)器下達(dá)命令，執(zhí)行攻擊腳本，注入挖礦木馬，對一些服務(wù)器的遠(yuǎn)程管理員賬號密碼，mysql數(shù)據(jù)庫的賬號密碼進(jìn)行暴力猜解。
      這個挖礦木馬我們可以命名為豬豬挖礦，之所以這樣起名也是覺得攻擊的特征，以及繁衍感染的能力太強(qiáng)，我們稱之為豬豬挖礦木馬。關(guān)于如何檢測以及防護(hù)挖礦木馬，我們通過這篇文章來給大家講解一下，希望大家能夠日后遇到服務(wù)器被挖礦木馬攻擊的時候可以應(yīng)急處理，讓損失降到最低。
      挖礦木馬是2018年底開始大批量爆發(fā)的，我們對豬豬挖礦進(jìn)行了詳細(xì)的跟蹤與追查分析，主要是通過thinkphp的網(wǎng)站漏洞進(jìn)行攻擊服務(wù)器，然后在服務(wù)器里置入木馬后門，以及挖礦木馬，該木馬的特征如下：內(nèi)置了許多木馬后門，集合了所有的網(wǎng)站漏洞，像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進(jìn)行攻擊網(wǎng)站。再一個特征就是木馬文件存儲的位置很隱蔽，文件名也是以一些系統(tǒng)的名字來隱藏，文件具有可復(fù)制，重生的功能，通信采用C與C端的模式，通信加密采用https，挖礦都是在挖以太坊以及比特幣。
      攻擊者最初使用的是thinkphp5的漏洞來攻擊網(wǎng)站，然后通過網(wǎng)站的權(quán)限來拿到服務(wù)器的root權(quán)限，被挖礦的基本都是linux centos服務(wù)器，然后置入到linux系統(tǒng)里木馬進(jìn)程，并將58.65.125.98IP作為母雞，隨時與其通信，母雞對其下達(dá)攻擊命令，進(jìn)行挖礦而牟利。
針對服務(wù)器被挖礦木馬攻擊的處理及安全解決方案
    盡快的升級thinkphp系統(tǒng)的版本，檢測網(wǎng)站源代碼里是否留有攻擊者留下的木馬后門，對網(wǎng)站開啟硬件防火墻，隨時的檢測攻擊，使用其他網(wǎng)站開源系統(tǒng)的運營者，建議盡快升級網(wǎng)站系統(tǒng)到最新版本，對服務(wù)器的遠(yuǎn)程端口進(jìn)行安全限制，管理員的賬號密碼以及數(shù)據(jù)庫的root賬號密碼都要改為字母+字符+大小寫組合。對服務(wù)器的端口進(jìn)行安全部署，限制端口的對外開放，網(wǎng)站的文件夾權(quán)限進(jìn)行安全防護(hù)，像圖片，以及緩存文件夾都進(jìn)行修改，去掉PHP腳本執(zhí)行權(quán)限,如果實在不懂的話可以找專業(yè)的網(wǎng)站安全公司來處理。

當(dāng)前名稱：服務(wù)器被挖礦木馬攻擊該怎么處理
分享網(wǎng)址：http://www.aaarwkj.com/news/112870.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站維護(hù)、響應(yīng)式網(wǎng)站、微信公眾號、靜態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)